View a markdown version of this page

Habilitar la autenticación multifactorial para AWS Microsoft AD gestionado - AWS Directory Service

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Habilitar la autenticación multifactorial para AWS Microsoft AD gestionado

Puede habilitar la autenticación multifactor (MFA) en su directorio AWS gestionado de Microsoft AD para aumentar la seguridad cuando los usuarios especifiquen sus credenciales de AD para acceder a las aplicaciones de Amazon Enterprise compatibles. Cuando se habilita la autenticación MFA, los usuarios deben introducir su nombre de usuario y su contraseña (el primer factor) como de costumbre, pero además deben introducir un código de autenticación (el segundo factor), proporcionado por la solución de MFA virtual o de hardware. La combinación de estos factores proporciona seguridad adicional, ya que impiden el acceso a las aplicaciones empresariales de Amazon, a menos que se proporcionen credenciales de usuario válidas y un código de MFA válido.

Para habilitar la MFA, debe tener una solución de MFA compuesta por un servidor Remote Authentication Dial-In User Service (RADIUS), o disponer de un complemento de MFA para un servidor RADIUS que ya tenga implementado en su infraestructura en las instalaciones. La solución de MFA debería implementar claves de acceso de un solo uso (OTP) que los usuarios obtienen de un dispositivo de hardware o de un software que se ejecuta en un dispositivo como un teléfono móvil.

RADIUS es un client/server protocolo estándar del sector que proporciona administración de autenticación, autorización y contabilidad para permitir a los usuarios conectarse a los servicios de red. AWS Microsoft AD administrado incluye un cliente RADIUS que se conecta al servidor RADIUS en el que ha implementado la solución de MFA. El servidor RADIUS valida el nombre de usuario y el código de OTP. Si el servidor RADIUS valida correctamente al usuario, AWS Managed Microsoft AD autentica al usuario en Active Directory. Tras la autenticación correcta en el Active Directory, los usuarios pueden obtener acceso a la aplicación de AWS . La comunicación entre el cliente RADIUS AWS administrado de Microsoft AD y el servidor RADIUS requiere que configure grupos de AWS seguridad que permitan la comunicación a través del puerto 1812.

Puede habilitar la autenticación multifactor para su directorio AWS administrado de Microsoft AD mediante el siguiente procedimiento. Para obtener más información acerca de cómo configurar su servidor RADIUS para que funcione con Directory Service y MFA, consulte Multi-factor requisitos previos de autenticación.

Consideraciones

A continuación se muestran algunas consideraciones para la autenticación multifactor del AWS Managed Microsoft AD:

Habilite la autenticación multifactorial para AWS Microsoft AD gestionado

En el siguiente procedimiento se muestra cómo habilitar la autenticación multifactor para el AWS Managed Microsoft AD.

  1. Identifique la dirección IP de su servidor MFA RADIUS y de su directorio administrado de AWS Microsoft AD.

  2. Edite los grupos de seguridad de Virtual Private Cloud (VPC) para habilitar las comunicaciones a través del puerto 1812 entre los puntos finales IP gestionados de AWS Microsoft AD y su servidor de MFA RADIUS.

  3. En el panel de navegación de la consola de AWS Directory Service, seleccione Directorios.

  4. Elija el enlace de ID de directorio para su directorio AWS administrado de Microsoft AD.

  5. En la página Detalles del directorio, lleve a cabo una de las siguientes operaciones:

    • Si aparecen varias regiones bajo Multi-Regionreplicación, seleccione la región en la que desee habilitar la MFA y, a continuación, elija la pestaña Redes y seguridad. Para obtener más información, consulte Regiones principales frente a las adicionales.

    • Si no aparece ninguna región bajo la Multi-Regionreplicación, seleccione la pestaña Redes y seguridad.

  6. En la sección Multi-factor de autenticación, elija Acciones y, a continuación, elija Habilitar.

  7. En la página Enable multi-factor authentication (MFA) (Habilitar la autenticación multifactor (MFA)), proporcione los valores siguientes:

    Display label (Mostrar etiqueta)

    Proporcione un nombre de etiqueta.

    RADIUS server DNS name or IP addresses (Nombre de DNS o direcciones IP del servidor RADIUS)

    Direcciones IP de los puntos de enlace del servidor RADIUS o dirección IP del balanceador de carga del servidor RADIUS. Puede introducir varias direcciones IP separándolas con una coma (p. ej., 192.0.0.0,192.0.0.12 o2001:db8::1,2001:db8::2).

    importante

    Los directorios creados después del 7 de octubre de 2025 requieren que los servidores RADIUS utilizados para la autenticación multifactor se puedan enrutar a través de la configuración de red de la VPC. Si no se puede acceder al servidor RADIUS a través de las tablas de enrutamiento, los grupos de seguridad y las ACL de red de la VPC, la autenticación multifactorial fallará durante las comprobaciones de autenticación multifactorial. Para resolver este problema, asegúrese de lo siguiente:

    • Enrutamiento de red: las tablas de enrutamiento de la VPC permiten que el tráfico llegue al servidor RADIUS desde las subredes en las que se implementan las instancias del directorio administrado de AWS Microsoft AD.

    • ACL de red: las ACL de su red de subred permiten el tráfico bidireccional en su servidor RADIUS. to/from

    • Internet Gateway/NAT: si su servidor RADIUS está conectado a Internet, asegúrese de que la VPC tenga la configuración de puerta de enlace de Internet o puerta de enlace NAT adecuada para las subredes del directorio. Si el tipo de red es IPv4, necesitará configurar la NAT y la puerta de enlace a Internet con su VPC.

    nota

    El MFA RADIUS solo se aplica para autenticar el acceso a las Consola de administración de AWS aplicaciones y servicios de Amazon Enterprise, como Amazon Quick o WorkSpaces Amazon Chime. Las aplicaciones y los servicios de Amazon Enterprise solo se admiten en la región principal si la Multi-Region replicación está configurada para su Microsoft AD AWS gestionado. No proporciona MFA a las cargas de trabajo de Windows que se ejecutan en instancias EC2 ni para iniciar sesión en una instancia EC2. Directory Service no admite la autenticación RADIUS. Challenge/Response

    En el momento en que los usuarios especifiquen el nombre de usuario y la contraseña, deben disponer de un código MFA. Como alternativa, debe utilizar una solución que realice la MFA fuera de banda, como notificaciones push o contraseñas de un solo uso (OTP) de autenticación para el usuario. En las soluciones MFA sin conexión, debe asegurarse de que establece el valor de tiempo de espera de RADIUS adecuadamente para su solución. Cuando utilice una solución MFA sin conexión, la página de inicio se sesión solicitará al usuario un código MFA. En ese caso, los usuarios deben escribir su contraseña en el campo de contraseña y en el campo de MFA.

    Puerto

    Puerto que utiliza el servidor RADIUS para las comunicaciones. La red local debe permitir el tráfico entrante desde los servidores a través del puerto de servidor RADIUS predeterminado (UDP:1812). Directory Service

    Código secreto compartido

    Código de secreto compartido que se especificó cuando se crearon los puntos de enlace de RADIUS.

    Confirm shared secret code (Confirmar código secreto compartido)

    Confirme el código secreto compartido para los puntos de enlace de RADIUS.

    Protocolo

    Seleccione el protocolo que se especificó cuando se crearon los puntos de enlace de RADIUS.

    Tiempo de espera del servidor (en segundos)

    Tiempo, en segundos, que hay que esperar a que el servidor RADIUS responda. Este valor debe estar entre 1 y 50.

    nota

    Recomendamos configurar el tiempo de espera del servidor RADIUS en 20 segundos o menos. Si el tiempo de espera supera los 20 segundos, el sistema no podrá volver a intentarlo con otro servidor RADIUS y podría producirse un error en el tiempo de espera.

    Número máximo de reintentos de solicitud RADIUS

    Número de veces que se intenta la comunicación con el servidor RADIUS. Este valor debe estar entre 0 y 10.

    Multi-factor la autenticación está disponible cuando el estado RADIUS cambia a Habilitado.

  8. Seleccione Habilitar.